Дефолт — это приговор. Fortinet включил уязвимость за вас, а хакеры сказали спасибо
NewsMakerДве критические уязвимости Fortinet уже «ожили» в атаках — и цель часто одна: доступ к конфигурации.
Arctic Wolf сообщает о первых вторжениях в сети клиентов, где злоумышленники входили на FortiGate через FortiCloud SSO вскоре после раскрытия двух критических уязвимостей обхода аутентификации — CVE-2025-59718 и CVE-2025-59719 . По данным компании, подозрительная активность началась 12 декабря 2025 года, а рекомендации от Fortinet по этим проблемам были опубликованы 9 декабря.
Обе уязвимости позволяют неаутентифицированному злоумышленнику обходить проверку SSO-логина с помощью специально сформированных SAML-сообщений, но при важном условии: на устройстве должна быть включена функция FortiCloud SSO. Сообщается, что затронуты сразу несколько линеек Fortinet — FortiOS, FortiWeb, FortiProxy и FortiSwitchManager. При этом Fortinet отдельно уточняет, что FortiCloud SSO login в заводских настройках выключен, однако при регистрации устройства через FortiCare в GUI FortiCloud SSO включается автоматически, если администратор на странице регистрации не отключит настройку Allow administrative login using FortiCloud SSO.
В зафиксированных инцидентах Arctic Wolf отмечает, что «вредоносные» SSO-входы на FortiGate шли с небольшого набора хостинг-провайдеров. Согласно логам, хакеры обычно заходили под учётной записью admin по SSO, после чего через веб-интерфейс выгружали конфигурацию устройства на определенные IP-адреса — это отражалось в событиях вида System config file has been downloaded by user admin via GUI.
В рекомендациях специалистов главное внимание уделено тому, что если конфигурация была выгружена атакующим, её нужно считать компрометированной: хотя пароли в конфигурациях сетевых устройств обычно хэшируются , злоумышленники нередко подбирают их офлайн, особенно когда пароль слабый и подходит под словарные атаки. Также Arctic Wolf советует ограничить доступ к интерфейсам управления файрволами и VPN-шлюзами только доверенными внутренними сетями, поскольку массовая эксплуатация часто опирается на поиск «подходящих» устройств через специализированные поисковые системы.
Arctic Wolf сообщает о первых вторжениях в сети клиентов, где злоумышленники входили на FortiGate через FortiCloud SSO вскоре после раскрытия двух критических уязвимостей обхода аутентификации — CVE-2025-59718 и CVE-2025-59719 . По данным компании, подозрительная активность началась 12 декабря 2025 года, а рекомендации от Fortinet по этим проблемам были опубликованы 9 декабря.
Обе уязвимости позволяют неаутентифицированному злоумышленнику обходить проверку SSO-логина с помощью специально сформированных SAML-сообщений, но при важном условии: на устройстве должна быть включена функция FortiCloud SSO. Сообщается, что затронуты сразу несколько линеек Fortinet — FortiOS, FortiWeb, FortiProxy и FortiSwitchManager. При этом Fortinet отдельно уточняет, что FortiCloud SSO login в заводских настройках выключен, однако при регистрации устройства через FortiCare в GUI FortiCloud SSO включается автоматически, если администратор на странице регистрации не отключит настройку Allow administrative login using FortiCloud SSO.
В зафиксированных инцидентах Arctic Wolf отмечает, что «вредоносные» SSO-входы на FortiGate шли с небольшого набора хостинг-провайдеров. Согласно логам, хакеры обычно заходили под учётной записью admin по SSO, после чего через веб-интерфейс выгружали конфигурацию устройства на определенные IP-адреса — это отражалось в событиях вида System config file has been downloaded by user admin via GUI.
В рекомендациях специалистов главное внимание уделено тому, что если конфигурация была выгружена атакующим, её нужно считать компрометированной: хотя пароли в конфигурациях сетевых устройств обычно хэшируются , злоумышленники нередко подбирают их офлайн, особенно когда пароль слабый и подходит под словарные атаки. Также Arctic Wolf советует ограничить доступ к интерфейсам управления файрволами и VPN-шлюзами только доверенными внутренними сетями, поскольку массовая эксплуатация часто опирается на поиск «подходящих» устройств через специализированные поисковые системы.